Theo đó, CVE-2024-38856 là một lỗ hổng thực thi mã từ xa trước khi xác thực. Lỗ hổng này ảnh hưởng đến các phiên bản Apache OFBiz trước phiên bản 18.12.15, gây ra nguy cơ nghiêm trọng đối với bất kỳ tổ chức nào đang sử dụng các phiên bản phần mềm lỗi thời.
Nguyên nhân của nằm trong cơ chế xác thực của Apache OFBiz. Cụ thể, lỗ hổng này cho phép người dùng chưa được xác thực truy cập vào các chức năng thường chỉ dành cho người dùng đã đăng nhập. Sau khi vào được hệ thống, kẻ tấn công có thể khai thác quyền truy cập này để thực thi mã tùy ý trên các hệ thống bị xâm phạm, điều này có thể dẫn đến việc chiếm quyền điều khiển toàn bộ hệ thống.
Lỗ hổng này nằm trong chức năng xem ghi đè của Apache OFBiz. Lỗ hổng nghiêm trọng này làm lộ các điểm cuối quan trọng đối với các kẻ tấn công chưa được xác thực, những người có thể khai thác lỗ hổng bằng cách gửi các yêu cầu được tạo đặc biệt.
Thêm vào sự cấp bách, các nhà nghiên cứu bảo mật đã công bố mã khai thác proof-of-concept (PoC) cho CVE-2024-38856. Việc mã PoC này có sẵn trên GitHub cung cấp một minh chứng cụ thể về cách khai thác lỗ hổng, làm cho việc tấn công trở nên dễ dàng hơn cho các tác nhân đe dọa.
CISA đã khuyến cáo các cơ quan liên bang và các tổ chức sử dụng Apache OFBiz nên cập nhật bản vá lên phiên bản 18.12.15 hoặc mới hơn. Việc không thực hiện các bản cập nhật này có thể để lại các hệ thống dễ bị tấn công, dẫn đến rủi ro về vi phạm dữ liệu, gián đoạn dịch vụ và các hậu quả nghiêm trọng khác.
M.H
14:00 | 09/09/2024
13:00 | 30/09/2024
14:00 | 02/10/2024
14:00 | 05/08/2024
10:00 | 02/10/2024
08:00 | 17/07/2024
07:00 | 14/10/2024
Theo cảnh báo từ các chuyên gia Công ty An ninh mạng Bkav, hiện có hai website giả mạo ứng dụng Zalo có địa chỉ là zaloweb.me và zaloweb.vn do tin tặc tạo ra để lừa người dùng với hàng triệu lượt truy cập mỗi ngày.
07:00 | 10/09/2024
Google vừa phát đi cảnh báo về một lỗ hổng bảo mật nghiêm trọng trên hệ điều hành Android, hiện đang bị khai thác tích cực. Nếu khai thác thành công, lỗ hổng này sẽ cho phép kẻ tấn công leo thang đặc quyền trên thiết bị mà không cần bất kỳ quyền thực thi bổ sung nào.
13:00 | 13/08/2024
Twilio đã khai tử ứng dụng Authy for Desktop, buộc người dùng phải đăng xuất khỏi ứng dụng trên máy tính để bàn.
14:00 | 22/07/2024
Hiệp hội An toàn thông tin Việt Nam (VNISA) phối hợp với Nhà xuất bản Bộ Thông tin và Truyền thông xuất bản cuốn sách IS-BOK 2.0 có tựa tiếng Việt là "Bộ Kiến thức cốt lõi về an toàn thông tin phiên bản 2.0". Đây là thỏa thuận hợp tác giữa các Hiệp hội An toàn thông tin khu vực ASEAN và được sự chuyển giao bản quyền của Hiệp hội các chuyên gia an toàn thông (AiSP) của Singapore.
Gã khổng lồ công nghệ Google rót 1 tỷ USD vào Thái Lan, xây dựng trung tâm dữ liệu và mở rộng dịch vụ đám mây.
10:00 | 10/10/2024